Добрый день, хабровчане! Сегодня мы поделимся c вами нашими соображениями по самостоятельной подготовке к защите в случае DDoS-атаки. Тема наболевшая, и не только среди пользователей ЖЖ и других атакуемых сайтов, но и наших специалистов проекта Kaspersky DDoS Prevention.


Особенность DDoS-атак в России

В продолжение первой части хочется рассказать, как это все действительно работает. Много времени было положено на тесты и отладку, и сейчас хочется выложить подробные рекомендации по результатам исследований, которые были проведены.

Внимание! Исследования проводились не для понимания, зачем мне это нужно, а для понимания как оно работает!

Теплым зимним вечером сидел я за компьютером и решил расслабиться, поиграв на пианино. Так как не фортепиано, не синтезатора у меня нет, я, воспользовавшись поиском, начал искать онлайн пианино с примерами для обычной клавиатуры QWERTY.

Поиск привел меня на страницу форума, где было предложено множество онлайн сервисов. Перейдя по одной из них и поиграв вдоволь, я открыл новую вкладку и начал писать адрес нужного сайта. Каково было мое удивление, когда при вводе адреса я услышал звуки фортепиано.

На Reddit и HN развернулись большая дискуссия на тему последних достижений системы машинного обучения Facebook. Даже опытные разработчики сходу не могут понять, каким образом Facebook «угадывает» конкретные факты, которое, вроде бы, никак не может знать.

Последней темой обсуждения стали географические подсказки, которые Facebook выводит при загрузке фотографий на сайт. Зачастую он точно угадывает, где конкретно были сделаны снимки, с точностью до улицы и конкретного здания. При этом в фотографиях нет EXIF-заголовков, на камере нет GPS, файлы загружались на сайт с другого места (то есть геотаггинг не работает), а на снимках изображены, например, новорожденный в роддоме или смазанные интерьеры ночного клуба (то есть фотографии сделаны внутри здания). Контекстный таггинг тоже не должен работать — на фотографиях не распознаны никакие лица или надписи.

Предисловие

В процессе разработки с использованием связки Zend Framework + Memcached приходится сталкиваться иногда как с (чрезмерной) обильностью имеющегося функционала фреймворка, так и с определёнными ограничениями. Об одном из таких случаев и найденном решении я и попытаюсь рассказать в этой статье.

Описание проблемы

Как известно, Memcached представляет собой относительно простое для использование Key/Value хранилище с простым, необходимым и достаточным функционалом. Предоставляемые ZF интерфейсы для взаимодействия с Memcached включены в общую библиотеку работы с кешем (включает в себя также адаптеры для Sqlite, Xcache, ZendServer и т.д.). Некоторые из этих систем кеширования поддерживают использование тегов для объектов кеширования, однако Memcached такой функцией не обладает, поэтому попытки использовать стандартные интерфейсы классов ZF для кеширования объектов с указанием тегов при работе с Memcached приведут лишь к ошибкам (в логах) вплоть до исключений. (Подробнее можно прочитать в документации).

Здравствуйте. Я представляю одну из ведущих танцевальных онлайн-радиостанций в России — FreshBeat Radio.

У нас, как у интернет-радио, есть одно огромное преимущество перед FM вещанием. Нам не надо проводить дорогостоящие исследования рынка, чтобы узнать количество слушателей, их местоположение, длительность и частоту прослушивания.

Мы постоянно имеем доступ к огромному количеству статистических данных, которые можно и нужно использовать для того чтобы еще больше соответствовать своей целевой аудитории. Перед тем как проанализировать данные по слушателям, их нужно собрать и систематизировать так, чтобы с ними было удобно работать.

В этой статье, я расскажу вам о том, как это визуализировать и периодически обновлять с помощью Highstock. На Хабрахабре уже было несколько статей про этот набор инструментов, но все они описывали работу только со статическими данными.

Сегодня в Москве состоялась официальная презентация третьего Гуглофона Samsung Galaxy Nexus. Ранее мы уже делали короткое превью аппарата, а затем обзор Android Ice Cream Sandwich. Теперь пришло время взглянуть на новинку со всех сторон в нашей рубрике «обзоры без правил»:



Вместе с презентацией Galaxy Nexus в Москве также начались продажи, точнее сказать были проданы несколько десятков Nexus-ов оформленных по предзаказу на сайте Samsung. Официальный старт намечен на 23 декабря (правда, пока только в одном магазине).

Мне понадобилось для своих сайтов запускать еженедельную проверку битых и несуществующих ссылок. Потратив пол часа на интернет-серфинг, я нашел несколько достойных консольных приложений (так как сервера у меня на Windows, то хотел использовать для этой задачи TaskSheduler). Все они оказались платные. А так как я мог выделить себе немного свободного времени, и задача на первый взгляд показалась не сложной, решил написать свое.

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.

Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook*, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.

Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.

Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».

Сложилось так что понадобился инструмент для управления своими виртуалками вне офиса и при этом не всегда под рукой была машина с ОС Linux. Раньше приходилось активно пользоваться Putty и консольной утилитой virsh, что очень напрягало даже не так управление виртуалками а как их создание. По началу писал bash скрипты для оптимизации своих действий, но не всегда это было удобно.

Тут еще я начал попутно изучать Python, все что было наскриптовано в bash стал переводить в Python. И тогда возникла идея написать веб-интерфейс для управления своими виртуалками в офисе, ну и теми что крутится в личных целях. Так как решались личные потребности, изначально планировалось спрятать такую вещь у себя на веб-сервере, речи о паблике даже в мыслях не было. Но после двух недель интенсивной работы над задачей, когда нарисовался уже почти не большой веб проект, знакомый предложил выложить все это в открытый доступ для чего выделил мне виртуалку под проект.

Мне посчастливилось участвовать в запуске нового отечественного pdf журнала — «Детали мира». Бизнес-модель — рекламная. Скачивать можно без регистрации, или после элементарной регистрации (нужен лишь e-mail, регистрация дает некоторые дополнительные возможности, такие как участие в обсуждении).

Дискуссии о будущем pdf-журналов мне кажутся надуманными,

Этот пост призван донести очевидные доводы, почему эта система – лохотрон скоро рухнет, до тех, кто этого не понимает.
Информация не претендует на абсолютную объективность, однако все схемы, типовые шаблоны поведения, описанные в этой статье, описаны не из воздуха. Мною, в нарушение правил системы (естественно в исследовательских целях, а не в погоне за халявными двадцатью баксами, бонус я получил только один), было зарегистрировано несколько аккаунтов в МММ, в разных ячейках. Картина везде примерно одинаковая.

UPD Final: в тексте статьи и в комментариях я указывал предположительные критические периоды, когда МММ-2011 могла рухнуть. Первый период, предновогодний, она пережила, второй — конец весны–начало лета, вполне себя оправдал.

Под катом взгляд на систему во времена её работы

Уязвимости уже нет — её исправили задолго до появления этого топика.

Очень часто многие веб-разработчики забывают о существовании этого метода взлома, а некоторые даже не знают о нём.

К сожалению, подобные уязвимости встречаются даже в таких крупных системах, как ХабраХабр.

Github выпустил сервер непрерывной интеграции проектов Janky, сделанный на базе Jenkins под управлением CoffeeScript-бота Hubot. Фактически, Janky — это просто интерфейс для работы с Jenkins через скрипты и команды Hubot.

Разработка ПО методом непрерывной интеграции (continuous integration, CI) предусматривает выполнение частых автоматизированных сборок проекта для скорейшего выявления и решения интеграционных проблем. Например, сборка из репозитория может проводиться каждую ночь по расписанию, с автоматическим прогоном тестов, так что каждое утро разработчики видят результаты тестирования. Такой метод приучает и программистов работать эффективнее, в итеративном режиме с более коротким циклом.

Понятно, что Github как нельзя лучше подходит для работы в режиме непрерывной интеграции. Система Janky заточена на использование Github, в том числе она создаёт соответствующие web-hook’и, а также может ограничивать доступ для сотрудников организации на Github.

Сервер Janky сделан на основе известной системы Jenkins (Hudson). Использование бота Hubot придаёт Janky особый шарм, управление сервером осуществляется с помощью простых команд.

Известный хакер webDEViL опубликовал в своем твиттере сообщение о том, что специальным образом сформированная web-страница (суть ясна из скриншота), содержащая iframe и просматриваемая браузером Safari, вызывает BSOD-ошибку в системе и позволяет злоумышленнику выполнить произвольный код на атакуемой системе.

Наличие уязвимости обусловлено ошибкой в файле win32k.sys, который уже ранее был неоднократно отмечен в качестве виновника критических ошибок в Win XP. Успешная эксплуатация приводит к выполнению кода с привилегиями уровня ядра системы.

Уязвимости подтверждена 64-битная версия Windows 7, однако и другие системы могут быть скомпроментированы.

Патча на данный момент не существует.

[Источник]

UPD: хабрапользователь KollinZ снял видео, иллюстрирующее уязвимость.

Несмотря на то, что спецификацию HTML5 планируется полностью утвердить и добиться максимально широкой функциональной совместимости лишь в 2014 году, уже сейчас начинают выкристаллизовываться идеи о том как должна выглядеть данная спецификация следующего поколения — HTML.next, как его в рабочем порядке называют в W3C-консорциуме.

Новые элементы семантики

<dеcompress>

Данный элемент предлагается использовать для интеграции файлов из ZIP-архива (ZIP в качестве основного формата, возможны и другие) напрямую в веб-страницу. Преимущества такого подхода: доступ веб-браузера к файлам из ZIP, уменьшение требований к пропускной способности канала (что особенно актуально для мобильных платформ).

Пример использования:

<decompress href="http://thisisanexample.com/mobile/familyreunion.zip">
<a href="familyreunion.zip/html/activities.html">Activities from our family reunion</a>
<img src="familyreunion.zip/img/familyreunion1.jpg">

Введение

В этой статье приводится несколько советов по оптимизации расхода батареи приложениями.
Отключая фоновые сервисы обновлений при потере соединения или уменьшая частоту обновлений при низком уровне заряда батареи можно существенно минимизировать влияние работы приложения на батарею.
Некоторые фоновые сервисы (загрузка из сети обновлений или контента приложения, сложные расчеты и т.д.) целесообразно отключать или снижать частоту их запуска при низком уровне заряда батареи. Для подобных действий важно принимать во внимание несколько факторов, как, например, текущее состояние зарядки устройства, наличие подключенной док-станции или наличие соединения с сетью. Ниже представлены способы получения этих значений и мониторинга их изменений.

Сегодня мы поговорим про создание/восстановление резервных копий bacula под Windows.
Сразу предупреждаю, никакой революционной изюминки здесь вы не найдете, но, надеюсь, некоторым хабражителям информация будет полезной (дабы в т.ч. оценить гибкость этого бесплатного продукта).
Статья расчитана на тех, у кого уже есть небольшой опыт общения с bacula.

Ограничение, с которым я столкнулся, это невозможность задавать ограничение на размер файла. Но зато bacula поддерживает получение списка файлов через pipe от команды, которая может выполняться как на клиенте, так и на сервере. Подробнее читайте здесь.

Итак, поехали.

Несмотря на то, что я в целом симпатизирую Android (имея при этом телефон на Symbian), я понимал один его существенный недочёт по сравнению с iOS, с которой его обычно сравнивают. Под него же нет Lingvo! Но, если вы прочитали название топика, то знаете, что теперь телефон на Android смело можно брать*. Итак, вслед за версиями для Windows, Mac OS X, iOS, Symbian, Windows Mobile и даже электронных книг, представляем вашему вниманию Lingvo для Android.

Для самых решительных есть вот это

А тех, кому надо сначала подумать, прошу под кат.

Тема пришла из далекого детства, когда я только начинал программировать, разбирал особенности PHP. На тот момент меня удивляла такая несправедливость: c сессией можно было работать как с обычным ассоциативным массивом($_SESSION), а для кукисов необходимо было использовать функцию setcookie(). Потом я уже поднабрался опыта и понял зачем это сделано именно так.
Время идет и PHP не стоит на месте, в нем появилась такая прекрасная вещь как SPL, одна из возможностей которой — обращение к объекту как к массиву, т.е. реализация ArrayAccess интерфейса.
И вот сейчас я вспомнил о своей детской идее, о массиве $_COOKIE, и реализовал ее:

<?php
/*
достаточно этой строчки чтобы создать куку как на стороне сервера так и клиента
*/
$_COOKIE['lang'] = 'ru'; 

Реализацию можно посмотреть под катом